【摘要】近来,快递面单信息遭贩卖事件引发了大众对信息泄露的关注。伴随着电商业的发展,快递在以几何级的速度发展,天量的快递面单成了信息贩子牟利的工具。某快递公司面单信息贩卖事件只是揭开了这条灰色产业链的冰山一角。不仅仅是快递行业存在信息泄露的隐患,近来有不少报道称多家连锁酒店住客信息泄露,开房信息可在线查询。频繁的信息泄露让消费者“赤身裸体”地出现在陌生人面前,出台《个人信息保护法》的呼声日益高涨。迟迟不能出台的《个人信息保护法》面临着方向性的选择,而要作出明确的选择,有必要从头审视个人信息保护法的一些基本理论问题。
【关键词】个人信息;信息财产权;信息自决权;方向性选择
一、个人信息的定性
个人信息,或称为个人资料、个人数据。就法律名称而言,欧盟国家多采用“个人数据”,日本、俄罗斯、韩国采用“个人信息”,我国台湾地区则是“个人资料”与“个人数据”两个概念并用。虽然各国使用的法律名称不尽相同,但这些术语之间没有本质的区别,其内涵基本是一致的。
从我国涉及立法的研究性成果中看,使用“个人信息”的表述形成了基本共识。周汉华教授在其主持的《个人信息保护法》(专家建议稿)的立法研究报告中就使用了“个人信息”的表述。并且纵观我国立法使用的实践,2009年《刑法修正案
(七)》第7条中已经出现“个人信息”的表述,这是我国国家立法层面首次将“个人信息”纳入法律之中。被我国立法机关初步接受并成为一个正式的法律术语。而新出台的《消费者权益保护法》也明确使用了“个人信息”。可见,“个人信息”的表述已经成为我国学界以及立法层面的共识。
二、个人信息保护的法理基础
(一)“人的尊严”理论
每个人享有“人的尊严”这一观念源于自然法传统,并得到所有现代法治国家的确认,是现代法秩序整体的哲学基础。保护人的尊严,意味着承认每个人都是自主、自决的独立个体,具有不可替代性。人本身即是目的,不得被要求或视为一种工具或手段;人应该自治自决,不应处于被操控的他治他决地位。信息化对个人最大威胁,正在于可能使其被“物化”。信息技术发展越快,个人的自主权丧失的也越快。关于他人的信息,可能成为操控他人的力量来源。当个人成为纯粹的“个人信息客体”,被随意监控,分析,操纵,个人的内在决策和对外形象都被控制时,个人作为“人”的主体性和完整性便已分崩离析,个人的独立和尊严受到直接挑战。这就是个人信息保护的基本逻辑。
(二)信息财产权理论
美国社会学家A托夫勒在《预测与前提》一书中论述道:“在第三次浪潮中,我们仍然需要土地、机器这些有形财产,但主要财产已经变成了信息。”④随着信息技术的快速发展,激烈的商业竞争越来越演变为信息资源之间的争夺战。谁拥有巨大的信息资源,谁就能在市场竞争中占据一席之地。大量个人信息被人们用于商业用途,以个人信息为生的网络公司层出不穷,贩卖个人信息的情形更是屡见不鲜。个人信息每天都在为处理者带来巨大的经济利益,如上海市证券交易所靠出售交易者投资信息,每年就能获得上亿元的利润。社会的进步使个人信息成为可以被买卖的财产,而这部分财产利益到底归属于谁?个人信息的贩卖者和处理者是否侵害了个人的信息财产权?这都是个人信息保护立法亟需解决的问题。
(三)个人信息自决权理论
从上文的论述中,我们清楚的知道,个人信息起步于隐私,但却不止是隐私。那么,个人信息保护是否形成了一种新的权利类型呢?个人信息的自决权理论成为学界较为认可的理论基础。
信息自决权的概念首先由德国提出来的。在1983年一个典型案例⑤中,德国联邦宪法法院对个人信息与个人自由之间的关系进行了论述。法院认为,如果没有约束个人信息处理的规则,一个民主社会将无法运行。在当今的信息化时代的背景下,保护个人免受其个人信息被无限地收集、储存、使用和披露是保护个人一般人格权的基本要求。个人原则上有能力决定其个人信息的披露或使用。而只有基于公共利益的考量,个人信息自决权才能被限制,并且这种公共利益是压倒性的。近期出台的《消费者权益保护法》就在该理论的基础上作出如下规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当必要的原则,明示收集、使用信息的目的、方式范围,并经消费者同意”。 笔者认为,“信息自决权”的核心内容有三:一是法律保留,是指行政机关不得自己决定限制人民的基本权利,须保留给立法许可;二是隐私保护;三是个人信息的收集应受到严格的、具体的、明确的目的限制。
三、个人信息保护的现状
个人信息的法律保护是当今世界各国保护个人信息的主要方式,迄今我国尚无专门的个人信息保护法。现阶段,我国法律法规层面上直接地以“个人信息”的名义来保护,即在与个人信息有关的法律法规中直接设置个人信息保护的条款的为数不多;涉及“个人信息”的法律实际上仅9部⑥,包括《刑法》、《社会保险法》、《统计法》、《护照法》、《居民身份证法》、《刑事诉讼法》《消费者权益保护法》、《旅游法》《出境入境管理法》其中刑法中涉及个人信息的内容为2009年第七刑法修正案才规定,而《消费者权益保护法》中有关个人信息的条款也是近期修订后才予以规定。而涉及“个人信息”的行政法规仅为5部⑦,其中《征信业管理条例》也是2013年3月15日才予以施行,而《征信业管理条例》也仅仅针对的信用信息。
纵观直接以“个人信息”名义来保护的法律法规,基本可以得出如下结论:一是我国以“个人信息”名义来保护的法律法规数量明显不足,并没有一部统一的个人信息保护立法,而仅仅在个别规范中有所规定,十分分散,并且效力层级十分低下;二是我国以“个人信息”名义来保护的法律法规的力度明显不够。对个人信息的内涵与外延未作任何界定于说明,存在于不同法律中的“个人信息”概念不尽相同;三是我国以“个人信息”名义来保护的立法起步明显太晚。
在如此分散的立法状况之下,有关个人信息的界定、保护范围、执法主体、个人信息主体和个人信息采集管理主体的权利义务、法律责任及救济等都处于不够明确或不够完善的境地,而这显然不利于对个人信息主体合法权益的保护。
四、《个人信息保护法》面临的方向性选择
迟迟不能完成的中国个人信息保护立法,当前面临方向性的选择:该如何看待个人信息保护问题,个人信息保护法立法应进行怎样的价值选择?
当前立法讨论中出现的避重就轻,甚至自相矛盾的情况,与个人信息保护立法的压力不够,动力不足有直接关系。由于对个人信息滥用的危害认识不全面,不充分,同时个人信息处理者担心受到约束,普遍对个人信息保护立法采取消极态度。不仅商业机构如此,甚至连政府机构的立场也不例外。
一方面,在网上披露他人姓名、地址的“人肉搜索”不断地被要求入罪;另一方面,各种各样要求留下姓名、地址的“实名制”层出不穷;一方面,普通公民在政府档案中的材料越来越丰富,另一方面,政府掌握的资料在公民要求信息公开时被称作为国家机密。一方面,快递单贩卖引起了广泛的信息危机;另一方面,以个人信息为生存基础的网络公司拔地而起。
个人信息保护立法可以是只对民怨最大的问题简单回应,也可以在深刻而全面地理解个人信息滥用的各种表现和危害的基础上全面布局,统筹安排;可以被当做一个加强保护个人权利和自由的契机;也可以被庸俗化、工具化,作为达到其他目的的手段。可以在其权力面前畏首畏尾,束手束脚,对技术进步与经济发展却傲慢轻视;也可以对个人信息保护的个人意义和经济意义给予同等的充分认识。可以简化为“垃圾短信防治法”、“人肉搜索禁止法”;也可以将目标定位为构建信息社会的基本秩序。可以既有助于解决中国现实问题,又与国际个人信息保护立法的大趋势合拍;也可以特立独行,对已经出现的负面影响听之任之。
到底保护哪些个人数据?为什么保护?怎样保护?刑法、民法、个人信息保护法中的规定是否需要相呼应?在这些基本问题上的不同回答,决定了个人信息保护法不同的方向选择。而要作出明确的选择,有必要从头审视个人信息保护法的一些基本理论问题。
注释:
①陈起行资讯隐私权法理探讨――以美国法为中心[J]政大法学评论,2000
(6
4)
③范姜真薇政府资讯公开与个人隐私之保护[J]法令月刊,2001
(5)
④郑成思信息、信息产权与知识产权[J]云南民族大学学报,2004
(6)
⑤Bundesverfassungsgericht[BVerfBE](Federal Constitutional Court),Nov151983
⑥北大法宝检索数据
⑦北大法宝检索数据
参考文献:
[2]姚岳绒宪法视野中的个人信息保护[M]北京:法律出版社,2012
[4]王利民隐私权概念的再界定[J]法学家,2012
(1)
[6]冯心明个人信息保护的立法价值冲突及其整合[J]甘肃政法学院学报,2006
(1
1)
[7]齐爱民中华人民共和国个人信息保护法示范法草案学者建议稿[J]河北法学,2005,6,23
(6)
